Έρευνα 2020 από τον Αμερικανικό Δικηγορικό Σύλλογο διαπίστωσε ότι το 29% των συμμετεχόντων δικηγορικών γραφείων αντιμετώπισαν κάποια μορφή απειλής κυβερνοασφάλειας, ενώ το 21% δεν μπόρεσε να προσδιορίσει πλήρως εάν είχε συμβεί ή όχι κυβερνοεπίθεση.
Παραδείγματα αυτών των παραβιάσεων της κυβερνοασφάλειας περιλαμβάνουν κλοπή δεδομένων και εκμετάλλευση ιστότοπου. Επιπλέον, η μελέτη διαπίστωσε ότι υπήρξε αύξηση 3% στον αριθμό των δικηγορικών εταιρειών που αντιμετώπισαν απειλές για την ασφάλεια στον κυβερνοχώρο από το 2019 έως το 2020.
Σε μια εποχή που η πανδημία προκαλεί αύξηση των διαδικτυακών επιχειρηματικών συναλλαγών και των εξ αποστάσεως ρυθμίσεων εργασίας, αυτά τα δεδομένα θα πρέπει να προκαλούν ανησυχία όχι μόνο για τα δικηγορικά γραφεία αλλά και για τους πελάτες τους. Η μελέτη αναφέρει μια προφανή αίσθηση ψευδούς ασφάλειας σε πολλά δικηγορικά γραφεία, δεδομένου ότι το 70% των ερωτηθέντων πίστευαν ότι δεν προέκυψε καμία απώλεια ή αναστάτωση στην επιχείρησή τους. Ωστόσο, όπως ο ίδιος ο Αμερικανικός Δικηγορικός Σύλλογος σημειώστε στην έρευνα, "... είναι φυσικό να αναρωτιόμαστε αν οι φαινομενικά θετικές τάσεις αντανακλούν μια ανησυχητική αίσθηση άνεσης βραχυπρόθεσμα εν μέσω της προοπτικής μιας δυνητικά μακροπρόθεσμης βλάβης."
As Περιοδικό ασφαλείας σημειώθηκε σε αυτό το 2017 άρθρο, «Οι παραβιάσεις εγκληματικών δεδομένων θα κοστίσουν στις επιχειρήσεις συνολικά 8 τρισεκατομμύρια δολάρια τα επόμενα 5 χρόνια, λόγω υψηλότερων επιπέδων συνδεσιμότητας στο Διαδίκτυο και ανεπαρκούς ασφάλειας σε επίπεδο επιχείρησης». Ομοίως, μια έρευνα του 2019 από το think tank της ψηφιακής τεχνολογίας Juniper Research προέβλεψε ότι το κόστος των επιχειρηματικών απωλειών λόγω επιθέσεων στον κυβερνοχώρο ασφάλειας θα ξεπεράσει τα 5 τρισεκατομμύρια δολάρια έως το 2024.
Γιατί οι νομικές εταιρείες αποτελούν παγκόσμιο στόχο για τους εγκληματίες στον κυβερνοχώρο;
Οι εγκληματίες στον κυβερνοχώρο έχουν ιδιαίτερη συγγένεια με επιτίθενται σε δικηγορικά γραφεία λόγω της κατοχής τεράστιων ποσοτήτων ευαίσθητων πληροφοριών πελατών και του κλάδου. Εάν αποκτήσουν πρόσβαση σε αυτές τις πληροφορίες, μπορούν να τις χρησιμοποιήσουν για να πάρουν ομήρους εταιρείες και πελάτες. Στη συνέχεια, θα ζητήσουν λύτρα για να καταβληθεί πριν επιτρέψουν στα θύματα να ανακτήσουν την κατοχή των δεδομένων τους. Or αν είναι σε θέση να παραβιάσουν τα διαπιστευτήρια σύνδεσης για στοιχεία τραπεζικής και πιστωτικής κάρτας, μπορούν να κλέψουν χρήματα.
Όπως θα φανεί αργότερα, οι εγκληματίες στον κυβερνοχώρο δεν αποφεύγουν τις Big Law εταιρείες. Τα τελευταία χρόνια, υπήρξαν πολλές περιπτώσεις μεγάλων νομικών εταιρειών στις ΗΠΑ, το Ηνωμένο Βασίλειο και την Αυστραλία που δέχθηκαν επίθεση και εισβολή. Με τεράστια ευφυΐα στη διάθεσή τους, συμπεριλαμβανομένων προσωπικών στοιχείων ταυτοποίησης (PII), οικονομικών πληροφοριών και δεδομένων συγχώνευσης και εξαγοράς (M&A), οι νομικές εταιρείες έχουν γίνει ο αγαπημένος στόχος για απατεώνες στον κυβερνοχώρο.
Αυτή η τάση των εγκληματιών στον κυβερνοχώρο να επιτίθενται σε δικηγόρους ενισχύεται από το γεγονός ότι τα δικηγορικά γραφεία έχουν γενικά ασθενέστερα συστήματα κυβερνοασφάλειας σε σύγκριση με εταιρείες άλλων βιομηχανιών όπως η τεχνολογία. Ακόμα και μικρότερου μεγέθους εταιρείες τεχνολογίας θα είχαν καλύτερη προστασία στον κυβερνοχώρο από τις μεγάλες δικηγορικές εταιρείες. Οπως και αναφερθεί από το Attorney at Law Magazine, πολλοί δικηγόροι «εξακολουθούν να είναι απρόθυμοι να προσλάβουν εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο για τις εταιρείες τους, είτε εσωτερικά είτε ως σύμβουλοι, συνήθως επειδή δεν γνωρίζουν σε ποιο βαθμό αυτοί οι τύποι διαδικτυακών απειλών μπορεί να είναι επιβλαβείς».
Στην Αυστραλία, η αδυναμία σε πολλά συστήματα κυβερνοασφάλειας δικηγορικών εταιρειών αντικατοπτρίζεται σε ένα εκπληκτικό στατιστικό που δείχνει ότι το ένα τρίτο των δικηγορικών γραφείων στη χώρα δεν διαθέτουν κεφάλαια για εκπαίδευση στον κυβερνοχώρο. Η έρευνα από την GlobalX και την Αυστραλιανή Ένωση Διαχείρισης Νομικής Πρακτικής (ALPMA) αποκάλυψε μια παράδοξη κατάσταση κατά την οποία το 79% των δικηγόρων ανησυχούν για την ασφάλεια στον κυβερνοχώρο, αλλά μόνο το 21% εμπιστεύτηκε τις εταιρείες τους για να μπορέσουν να επιβιώσουν από μια κυβερνοεπίθεση. Παρά την επίγνωση της σοβαρότητας των απειλών για την ασφάλεια στον κυβερνοχώρο, το 33% των δικηγορικών γραφείων της Αυστραλίας φαίνεται να έχουν παγιδευτεί σε μια κουλτούρα εφησυχασμού στη νομική βιομηχανία. Όπως θα δούμε αργότερα σε μελέτες περιπτώσεων, η λιγότερο προληπτική στάση που έδειξαν οι δικηγορικές εταιρείες όσον αφορά την ασφάλεια στον κυβερνοχώρο είχε ως αποτέλεσμα τεράστιες ζημιές στις επιχειρήσεις τους.
Ποιες τακτικές χρησιμοποιούν οι εγκληματίες στον κυβερνοχώρο για να επιτεθούν σε δικηγορικά γραφεία;
malware
Το 2017, η DLA Piper δέχθηκε επίθεση από ransomware που εξασθένησε χιλιάδες υπολογιστές της. Η επίθεση ανάγκασε την DLA Piper να κλείσει τις ψηφιακές της δραστηριότητες παγκοσμίως. Τα συστήματα ηλεκτρονικού ταχυδρομείου και τηλεφώνου απενεργοποιήθηκαν, αναγκάζοντας δικηγόρους και άλλους υπαλλήλους να κάνουν επιχειρήσεις χρησιμοποιώντας κινητά τηλέφωνα. Περιττό να πούμε ότι ήταν μια πολύ αγχωτική υπόθεση για το προσωπικό της εταιρείας, δεδομένου ότι μια νομική εταιρεία εξαρτάται σε μεγάλο βαθμό από τα έγγραφα για τη λειτουργία της. Αμερικανός δικηγόρος κάνει μια προσαρμογή παρατήρηση για τις δυσμενείς επιπτώσεις της επίθεσης ransomware: «Θεωρήστε τους δικαστές που δεν μπορούν να έχουν πρόσβαση σε προτάσεις εντός προθεσμίας. Οι δικηγόροι που προετοιμάζονται για επιχειρήματα χωρίς βασικά έγγραφα. Δικηγόροι συναλλαγών που δεν μπορούν να επικοινωνήσουν με πελάτες που προσπαθούν να κλείσουν συμφωνίες πολλών δισεκατομμυρίων δολαρίων ».
Phishing
Το Ηνωμένο Βασίλειο έγινε γόνιμο έδαφος για επιθέσεις ηλεκτρονικού ψαρέματος εναντίον δικηγορικών γραφείων μετά το κλείδωμα του 2020 λόγω της πανδημίας του COVID-19. Η Ρυθμιστική Αρχή Δικηγόρων εντόπισε αύξηση του phishing κατά 300% ακόμη και τους πρώτους δύο μήνες από την έναρξη του lockdown. Κατά τους πρώτους έξι μήνες του 2020, βρετανικές δικηγορικές εταιρείες ανέφεραν ότι οι εγκληματίες στον κυβερνοχώρο τους έκλεψαν σχεδόν 2.5 εκατομμύρια λίρες, τριπλάσιο από το ποσό που αναφέρθηκε τους πρώτους έξι μήνες του 2019. Μια νομική εταιρεία ανέφερε μια απάτη ηλεκτρονικού ψαρέματος που θύμασε τον ανώτερο σύντροφό τους. Ένα email ηλεκτρονικού ψαρέματος που περιέχει κακόβουλο λογισμικό μεταμφιέστηκε ότι προέρχεται από έναν πελάτη. Όταν το θύμα έκανε κλικ στο συνημμένο, έστειλε αμέσως μηνύματα ηλεκτρονικού ταχυδρομείου στις επαφές του ανώτερου συνεργάτη ζητώντας τους να κάνουν κλικ σε έναν σύνδεσμο και να παράσχουν τις ζητούμενες πληροφορίες. Αυτό είχε ως αποτέλεσμα η δικηγορική εταιρεία να ζητήσει από την τράπεζά της να δεσμεύσει τον λογαριασμό πελάτη της και να αποστείλει συγγνώμη στους επηρεαζόμενους πελάτες.
Κλοπή ταυτότητας
Τον Οκτώβριο του 2020, η νομική εταιρεία μετανάστευσης Fragomen, Del Rey, Bernsen & Loewy γνώρισε μη εξουσιοδοτημένη πρόσβαση στα αρχεία I-9 που περιείχαν προσωπικές πληροφορίες προηγούμενων και σημερινών υπαλλήλων της Google. Αυτή η δικηγορική εταιρεία πραγματοποιεί έλεγχο επαλήθευσης για τις εταιρείες για να διαπιστώσουν εάν οι υπάλληλοί τους έχουν υγιές νομικό καθεστώς για να εργαστούν στις Ηνωμένες Πολιτείες. Τα αρχεία I-9 φέρουν πολλά εμπιστευτικά δεδομένα, όπως πληροφορίες διαβατηρίου, άδειες οδήγησης και ταυτότητες, καθιστώντας τα μια γλυκιά πίτα για χάκερ και κλέφτες ταυτότητας.
Πρόσφατα παραδείγματα επιθέσεων σε δικηγορικά γραφεία
Τον Ιανουάριο του 2021, ένας προμηθευτής του Goodwin Procter, υπεύθυνος για μεγάλες μεταφορές αρχείων, έγινε θύμα παραβίασης. Αυτό επέτρεψε στους εγκληματίες στον κυβερνοχώρο να αποκτήσουν πρόσβαση σε δεδομένα που εποπτεύει ο πωλητής για τη νομική εταιρεία. Η έρευνα του Goodwin κατέληξε στο συμπέρασμα ότι: ορισμένοι από τους πελάτες της δικηγορικής εταιρείας θα μπορούσαν να έχουν αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητο υλικό, μόνο ένα μικρό ποσοστό των εργαζομένων της Goodwin επηρεάστηκε και δεν υπήρχε καμία απόδειξη που να δείχνει ότι άλλα περιουσιακά στοιχεία και επιχειρηματικές δραστηριότητες επηρεάστηκαν αρνητικά. Ωστόσο, ως σημαντική εταιρεία πληροφοριών Law.com σημειώσεις«Κάποιοι πιστεύουν ότι τα πραγματικά δράματα συμβαίνουν ιδιωτικά».
Η Allens, μία από τις μεγαλύτερες και πιο αξιόλογες δικηγορικές εταιρείες της Αυστραλίας, ήταν επίσης θύμα μιας εξελιγμένης παραβίασης της κυβερνοασφάλειας τον περασμένο Ιανουάριο του 2021. Η επίθεση αναφέρθηκε ότι ξεκίνησε σε ένα σύστημα μεταφοράς και αποθήκευσης αρχείων δύο δεκαετιών που χρησιμοποιούσε η Accellion. , μια εταιρεία κυβερνοασφάλειας με έδρα την Καλιφόρνια που παρέχει υπηρεσία μεταφοράς και αποθήκευσης αρχείων για μεγάλες εταιρείες, συμπεριλαμβανομένων πολλών νομικών εταιρειών σε όλο τον κόσμο. Η Accellion ενημέρωσε το παλαιό προϊόν της μόνο πέρυσι όταν ανακάλυψε μια ευπάθεια στο σύστημα. Με έναν μάλλον γλωσσικό τρόπο, ο πρώην διευθυντής υποδομής της Allens, Shawn Schmidt, αναφέρθηκε στον ιστότοπο της Accellion σχετικά με την επιλογή της αυστραλιανής νομικής εταιρείας από την εταιρεία κυβερνοασφάλειας: «Θα μπορούσαμε εύκολα να επιτρέψουμε στους υπαλλήλους να χρησιμοποιούν λύσεις για καταναλωτές, όπως το Dropbox που, στην επιφάνεια, θα είχαν κάνει τη δουλειά. Γνωρίζαμε όμως ότι η εταιρεία μας και οι πελάτες μας χρειάζονταν κάτι στο οποίο μπορούσαν να εμπιστευτούν και να βασιστούν ».
Η Jones Day, η 10η μεγαλύτερη δικηγορική εταιρεία στις Ηνωμένες Πολιτείες και επίσης πελάτης της Accellion, ανέφερε τον περασμένο Φεβρουάριο 2021 ότι ιδιωτικά δεδομένα από τους πελάτες τους καθώς και αρχεία επικοινωνίας της εταιρείας παραβιάστηκαν επίσης λόγω ευπάθειας στο αρχείο δύο δεκαετιών του Accellion Συσκευή μεταφοράς.
Συμπέρασμα
Η έρευνα για την κυβερνοασφάλεια του 2020 από τον Αμερικανικό Δικηγορικό Σύλλογο αποκαλύπτει την εκτεταμένη ζημιά που έχουν υποστεί τα δικηγορικά γραφεία λόγω παραβιάσεων. Το XNUMX % των συμμετεχόντων στη μελέτη ανέφεραν απώλεια ωρών με χρέωση στους πελάτες τους. Το XNUMX % έπρεπε να δαπανήσει τέλη διαβούλευσης για επισκευή. δεκαεφτά τοις εκατό έπρεπε να αντικαταστήσουν είτε το υλικό είτε το λογισμικό τους. Το XNUMX % έχασε την πρόσβαση στο δίκτυο. και το δέκα τοις εκατό έχασε την πρόσβαση στον ιστότοπό τους.
Τα δικηγορικά γραφεία πρέπει να υιοθετήσουν μια πιο προληπτική στάση για να είναι σε θέση να καταπολεμήσουν τις επιθέσεις στον κυβερνοχώρο. Θα πρέπει να βρίσκονται σε συνεχή επικοινωνία με τον πάροχο ασφαλείας τους για να λαμβάνουν τις πιο πρόσφατες ενημερώσεις κώδικα και ενημερώσεις. Ακόμη και οι εταιρείες ασφάλειας στον κυβερνοχώρο μπορεί να πέσουν σε εφησυχασμό και έτσι εναπόκειται στα δικηγορικά γραφεία να επιλέξουν προσεκτικά τους παρόχους υπηρεσιών τους.
Οι δικηγόροι γνωρίζουν, πρώτα απ 'όλα, ότι η τήρηση του απορρήτου των πληροφοριών αποτελεί χρυσό πρότυπο στην επιχείρησή τους. Είναι ένα από τα θεμέλια της φήμης της εταιρείας τους. Είναι η βάση για την ανάπτυξη σχέσης εμπιστοσύνης με τους πελάτες τους. Και τους παρέχει προστασία από αγωγές κακομεταχείρισης. Στο τέλος, οι δικηγορικές εταιρείες θα πρέπει να προσπαθήσουν να επενδύσουν σε προϊόντα και υπηρεσίες κυβερνοασφάλειας που είναι αιχμής και έχουν εξαιρετικές κριτικές.
